janvier 14th, 2011

L’ISP Review consacre toute une page au rejet formulé par l’European Internet Services Providers Association (EuroISPA), à propos du filtrage de contenu que voudrait voir institué le Parlement Européen. Un filtrage qui, explique l’EuroISPA, ne serait qu’une mesure cosmétique inefficace.

L’on pourrait ajouter que, plus que les sources d’images, il serait bien plus souhaitable que ce soient les générateurs de contenus qui fassent l’objet d’une réelle attention du Parlement. Mais il est rare que les victimes soient mentionnées dans ce dossier. Tout se passe comme s’il était plus important d’assurer un véritable contrôle des outils de censure à l’intérieur des frontières de la Vieille Europe que de sauver des enfants, même si ces victimes sont souvent exploitées en dehors de nos frontières. Dans ces conditions, il est difficile de discerner, dans les décisions du Parlement, la part dévolue à la volonté de contrôle de l’outil Internet, et la part d’échec ou d’inefficacité dans les procédures judiciaires et échanges d’informations policières internationales. Tout comme il est tout aussi difficile de faire la différence entre le rôle de défenseur de la liberté d’expression que les FAI Européen veulent donner d’eux, et la crainte qu’ils peuvent ressentir quant aux éventuelles contraintes financières et juridiques qu’un tel système de « censure au tuyau » pourrait leur imposer.

Un article de Reuter fait la part belle aux recherches de Thomas Roth, l’homme qui attaque WPA-PSK en « brute force » à coup d’ordinateur « dans le cloud », et plus particulièrement de ceux loués par Amazon. L’emploi de EC2 aurait permis de pénétrer sur un réseau wifi ainsi protégé après moins de 20 minutes de temps de calcul, déclare Roth. Temps qui pourrait être ramené à 6 minutes après optimisation du programme distribué utilisé. Le tout pour moins de 28 cents la minute rapporte Reuter.

L’usage de machines mutualisées dans le cadre d’attaques massives est une vieille marotte du monde de la sécurité en général et des chercheurs en particulier. Les protestations d’un Amazon, qui psalmodie « c’est pas bien, vous n’avez pas le droit, cela viole notre politique d’entreprise et les engagements contractuels » ressemblent peu ou prou à celles des hébergeurs de sites. Ceux-là mêmes qui espèrent qu’une clause de bas de page suffira à policer les contenus que diffusent leurs clients. Mais rien n’est plus anonyme qu’un acheteur de temps de calcul dans une architecture cloud publique. Surtout si celui-ci paye à l’aide de crédences bancaires volées et fournit une fausse adresse. Car si la force du cloud est précisément de ne pas avoir à se préoccuper du pays sur lequel sont situées ses machines, sa faiblesse est également de ne pas pouvoir localiser précisément le pays dans lequel vivent ses clients réels. A côté de ce problème, la question des temps de hacking de WPA-PSK ressemble une bluette pour collège de jeunes filles.

Reste que, techniquement parlant, EC2 et ses confrères peuvent être désormais reconnus comme des outils pouvant servir à compromettre l’intégrité d’un système d’information. Comme la possession, l’usage ou la distribution de tels programmes est strictement interdit par la LCEN, il serait très intéressant que le Ministère Public du Limousin ou du bas-Poitou engage des poursuites envers ces dangereux terroristes binaires, à côté desquels les possesseurs de Snort, de Nmap, de Wireshark ou de Metasploit sont à la guerre numérique ce que les fabricants de cocktails molotov sont aux constructeurs de la bombe H.

Régulièrement,Richard Bejtlich, blogueur renommé et consultant œuvrant souvent pour le compte de l’USAF, nous offre un éventail de ses outils préférés. Cette année, l’homme du « Tao de la Sécurité » nous parle d’IDS, d’outils de monitoring open source, de consoles Snort et d’outils de captures de trames. L’on pourrait donc résumer la pensée Bejtlichienne par «pas de discours, mais 8 ou 9 téléchargements indispensables pour bien commencer 2011 ».

Lorsque le docte Collège de France envisage, en collaboration avec l’Inria, de traiter de sécurité informatique, il ne le fait pas avec des moyens d’école communale. Du 16 mars au 18 mai, dans l’amphithéâtre Marguerite de Navarre, se succèderont des intervenants aux noms prestigieux : Jon Mitchel, Ron Rivest, Andrew Myers, Adi Shamir… et ce ne sera pas pour y énoncer des lieux communs ou y dérouler un discours de « keynote » au contenu fumeux. Le programme débutera avec les politiques de sécurité, abordera les rivages agités du contrôle des flux d’informations, s’engagera dans les mystères du chiffrement et de la cryptographie ou dans les terres inhospitalières des protocoles. Tous ces cours seront donnés par le Professeur Martin Abadi et suivis de conférences animées par les têtes d’affiches mentionnées.

Les cours magistraux du Collège de France sont gratuits et accessibles à tous (dans la limite des places disponibles) et généralement récupérables sous forme de « podcasts » dans la semaine qui suit leur tenue.